最近接到的一個項目，客戶總部在惠州，分部在香港，在香港分部設(shè)有ERP服務(wù)器與郵件服務(wù)器，總部出口為鐵通10M光纖與網(wǎng)通1M?DDN 專線（新增），原總部是用netscreen 防火墻與香港的pix 515作IPsec ×××對接，現(xiàn)客戶要求是新增一條網(wǎng)通DDN專線用來專跑ERP數(shù)據(jù)業(yè)務(wù)，就是要求平時總部去分部訪問ERP服務(wù)器的數(shù)據(jù)走DDN專線，訪問郵件服務(wù)器的數(shù)據(jù)走ipsec×××,但當(dāng)這兩條鏈路其中有出現(xiàn)故障中斷時，能做到鏈路自動切換，例DDN專線出現(xiàn)故障，原走這條線路的ERP數(shù)據(jù)能自動切換到ipsec ×××線路去，如果線路恢復(fù)線路又自動切換。 對netscreen 作了研究它是支持策略路由，但好像不支持線路檢測（如知道者請?zhí)峁┵Y料，學(xué)習(xí)一下）。 為滿足客戶要求，我推薦用思科1841路由器，思科支持策略路由與線路檢測，一直有看過相應(yīng)的文檔，但沒實(shí)施過，呵呵，終于有機(jī)會了。 解方案如下圖： IP分配如下： 總部IP段為：192.168.1.0/24? 網(wǎng)關(guān)：192.168.1.111/24 netscreen ssg-140 和透明接入， R1配置： FastEthernet0/0 -- 192.168.1.111/24 FastEthernet0/1 -- 192.168.2.1/24 (鐵通線路 IP 有改^_^） Serial0/0 --- 192.168.3.1/24? (網(wǎng)通線路) PIX 515配置： Ethernet1 (outside) -- 192.168.2.2/24 Ethernet0 (inside) -- 192.168.4.1/24 R2配置： FastEthernet0/0 -- 192.168.4.2/24 FastEthernet0/1-- 192.168.5.1/24
Serial0/0 -- 192.168.3.2/24? 下面只列出重點(diǎn)部分： ×××配置R1----PIX515 R1: 第一步：在路由器上定義NAT的內(nèi)部接口和外部接口
R1(config)#int?f0/0 R1(config-if)#ip?nat?inside
R1(config-if)#exit
R1(config)#int?f0/1 R1(config-if)#ip?nat?outside
R1(config-if)#exit
第二步：定義需要被NAT的數(shù)據(jù)流（即除去通過×××傳輸?shù)臄?shù)據(jù)流）
R1(config)#access-list 101 deny?? ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 R1(config)#access-list 101 deny?? ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 R1(config)#access-list 101 permit ip any any 第三步：定義NAT。
R1(config)#ip?nat?inside?source?list?101?interface?f0/1?overload
第四步：定義感興趣數(shù)據(jù)流，即將來需要通過×××加密傳輸?shù)臄?shù)據(jù)流。
R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 第五步：定義ISAKMP策略。
R1(config)#crypto?isakmp?enable
//啟用ISAKMP
R1(config)#crypto?isakmp?policy?10?
R1(config-isakmp)#authentication?pre-share?
//認(rèn)證方法使用預(yù)共享密鑰
R1(config-isakmp)#encryption?des
//加密方法使用des
R1(config-isakmp)#hash?md5?
//散列算法使用md5
R1(config-isakmp)#group?2
//DH模長度為1024
第六步：將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián)，預(yù)共享密鑰為“cisco123456”。 R1(config)#crypto?isakmp?identity?address?
R1(config)#crypto?isakmp?key?cisco123456?address?192.168.2.2
第七步：設(shè)置ipsec轉(zhuǎn)換集。
R1(config)#crypto?ipsec?transform-set?my***?esp-des?esp-md5-hmac?
R1(cfg-crypto-trans)#mode?tunnel
第八步：設(shè)置加密圖。
R1(config)#crypto?map?my***map?10?ipsec-isakmp?
R1(config-crypto-map)#match?address?102
//加載感興趣流
R1(config-crypto-map)#set?peer?192.168.2.2 //設(shè)置對等體地址
R1(config-crypto-map)#set?transform-set?my***?
//選擇轉(zhuǎn)換集
R1(config-crypto-map)#set?pfs?group2
//設(shè)置完美前向保密，DH模長度為1024
第九步：在外部接口上應(yīng)用加密圖。
R1(config)#int?f0/1 R1(config-if)#crypto?map?my***map ? PIX: ? 第一步：定義感興趣數(shù)據(jù)流，即將來需要通過×××加密傳輸?shù)臄?shù)據(jù)流。
PIX(config)#?access-list no-nat extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0 PIX(config)#?access-list no-nat extended permit ip 192.168.4.0 255.255.255.0 192.168.1.0 255.255.255.0
第二步：通過×××傳輸?shù)臄?shù)據(jù)包不需要做NAT，因此，將這些數(shù)據(jù)包定義到nat?0，nat?0不對數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換。nat0的處理始終在其他nat（例如nat1、nat2、nat3……）之前。
PIX(config)#?nat?(inside)?0?access-list?no-nat 第三步：訪問internet的數(shù)據(jù)流使用PAT出去。
PIX(config)#?nat?(inside)?1?0?0
PIX(config)#?global?(outside)?1?interface
第四步：定義ISAKMP策略。
PIX(config)#?crypto?isakmp?enable?outside?
//在外部接口上啟用ISAKMP
PIX(config)#?crypto?isakmp?policy?10?authentication?pre-share?
//認(rèn)證方法使用預(yù)共享密鑰
PIX(config)#?crypto?isakmp?policy?10?encryption?des?
//加密方法使用des
PIX(config)#?crypto?isakmp?policy?10?hash?md5?
//散列算法使用md5
PIX(config)#?crypto?isakmp?policy?10?group?2
//DH模長度為1024
第五步：將ISAKMP預(yù)共享密鑰和對等體關(guān)聯(lián)，預(yù)共享密鑰為“cisco123456”。
PIX(config)#?crypto?isakmp?identity?address?
PIX(config)#?crypto?isakmp?key?cisco123456?address?192.168.2.1 第六步：設(shè)置ipsec轉(zhuǎn)換集。
PIX(config)#?crypto?ipsec?transform-set?my***?esp-des?esp-md5-hmac
第七步：設(shè)置加密圖。
PIX(config)#?crypto?map?my***map?10?ipsec-isakmp?
PIX(config)#?crypto?map?cmy***map?10?match?address?no-nat
//加載感興趣流
PIX(config)#?crypto?map?my***map?10?set?transform-set?my***
//選擇轉(zhuǎn)換集
PIX(config)#?crypto?map?my***map?10?set?peer?192.168.2.1
//設(shè)置對等體地址
PIX(config)#?crypto?map?my***map?10?set?pfs?group2
//設(shè)置完美前向保密，DH模長度為1024
第八步：在外部接口上應(yīng)用加密圖。
PIX(config)#?crypto?map?my***map?interface?outside
第九步：指定IPsec的流量是可信任的。
PIX(config)#?sysopt?connection?permit-ipsec ? ? 接下是本部份重點(diǎn)，就是路由選擇與鏈路檢測配置： R1： ip access-list extended lan-erp
?permit ip 192.168.1.0 0.0.0.255 host 192.168.5.53 (ERP IP)
ip access-list extended lan-mail
?permit ip 192.168.1.0 0.0.0.255 host 192.168.5.50 (mail IP) 定義route-map 的感興趣流 ip sla monitor 1
?type echo protocol ipIcmpEcho 192.168.3.2
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
?type echo protocol ipIcmpEcho 192.168.2.2
ip sla monitor schedule 2 life forever start-time now track 123 rtr 1 reachability
track 124 rtr 2 reachability 啟用思科SLA協(xié)議，動態(tài)檢測鏈路。 route-map test permit 10
?match ip address lan-erp
?set ip next-hop verify-availability 192.168.3.2 1 track 123
?set ip next-hop verify-availability 192.168.2.2 2 track 124
!
route-map test permit 20
?match ip address lan-mail set ip next-hop verify-availability 192.168.2.2 1 track 124
?set ip next-hop verify-availability 192.168.3.2 2 track 123 啟用routermap 對數(shù)據(jù)進(jìn)行分流。 R2： ip access-list extended erp-lan
?permit ip host 192.168.5.53 192.168.1.0 0.0.0.255
ip access-list extended mail-lan
?permit ip host 192.168.5.50 192.168.1.0 0.0.0.255 定義route-map 的感興趣流 ip sla monitor 1
?type echo protocol ipIcmpEcho 192.168.3.1
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
?type echo protocol ipIcmpEcho 192.168.2.1
ip sla monitor schedule 2 life forever start-time now track 123 rtr 1 reachability
track 124 rtr 2 reachability 啟用思科SLA協(xié)議，動態(tài)檢測鏈路。 route-map test permit 10
?match ip address mail-erp
?set ip next-hop verify-availability 192.168.3.1 1 track 123
?set ip next-hop verify-availability 192.168.4.1 2 track 124
!
route-map test permit 20
?match ip address erp-mail set ip next-hop verify-availability 192.168.4.1 1 track 124
?set ip next-hop verify-availability 192.168.3.1 2 track 123
定義route-map 的感興趣流. 為什么R2也要配置，請讀者自己去思考了。有興趣大家可做下實(shí)驗，本文結(jié)束。 本文出自 “藍(lán)冰天下(NICK)” 博客，請務(wù)必保留此出處[url]http://nicklyj.blog.51cto.com/81129/151291[/url]本文出自 51CTO.COM技術(shù)博客

轉(zhuǎn)載于:https://blog.51cto.com/jiutouniao/151809

總結(jié)

以上是生活随笔為你收集整理的cisco 双ISP线路接入，链路自动切换方案的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。